TeamViewer-Hack: Hatte APT41-Gruppe Zugriff auf Millionen Geräte?

Die Entwicklerfirma der Fernwartungssoftware TeamViewer wurde im Jahr 2016 Opfer eines Cyberangriffs. Das war mir bekannt und ich hatte es im Blog thematisiert. Jetzt geben Sicherheitsforscher von FireEye an, dass die mutmaßlich chinesische Hacker-Gruppe APT41 Zugriff auf Millionen Geräte gehabt haben könnte. Allerdings ist das Ganze irgendwie nebulös bzw. wenig konkret.


Anzeige

Einige Vorbemerkungen zu TeamViewer

TeamViewer ist eine Remote-/Fernwartungs-Software, die ziemlich breit eingesetzt wird. Das Programm ist ziemlich einfach zu handhaben und sehr funktional – und für Privatanwender sogar kostenlos nutzbar. Laut Unternehmensangaben nutzten bereits 2014 mehr als 200 Millionen Anwender (viele Firmen sind dabei) diese Software für Webkonferenzen und Fernwartung. Mittlerweile soll die Software auf 2 Milliarden Geräten weltweit installiert sein. Hinter dem TeamViewer steckte bisher die deutsche GmbH gleichen Namens aus Göppingen (bei Stuttgart), die 2005 gegründet wurde.

2014 wurde die Firma unbemerkt von der Öffentlichkeit durch einen Private Equity-Fonds übernommen – ich hatte im Blog-Beitrag TeamViewer: ‘Stille’ Übernahme durch Private Equity–Fonds darüber berichtet. Käufer war die britische Private Equity-Firma Permira, die die GmbH bei einem Exit zum Kaufpreis von 1,1 Milliarden US $) übernommen hat, ohne dass das irgendwie publik wurde. Vor einigen Wochen war dann der Exit in Form eines Börsengangs, bei dem Permira ordentlich Kasse machte.

Der geheim gehaltene TeamViewer-Hack in 2016

Im Jahr 2016 wurde die Entwicklerfirma der Fernwartungssoftware TeamViewer Opfer eines Cyberangriffs. Dieser Hack wurde aber nicht durch die Firma öffentlich gemacht. Vielmehr deckte der Spiegel das Ganze erst im Mai diesen Jahres auf (siehe Cyber-Angriff auf TeamViewer, Chinesen im Verdacht).

Der Hackergruppe Winnti gelang es wohl eine Schadsoftware einzuschleusen, die die Systeme der Entwickler kompromittierten. Die Gruppe Winnti wird auch für andere Hacks wie zum Beispiel auf Bayer-Hack (siehe Sicherheitsinfos zum Sonntag (14. April 2019)) im Jahr 2018 oder bei Thyssen Krupp verantwortlich gemacht.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Die Hackergruppe Winnti soll mutmaßlich im Auftrag des chinesischen Staates operieren. Der Angriff auf TeamViewer wurde wohl bereits im Jahr 2016 entdeckt – aber erst im Mai 2019 hat das Unternehmen dies gegenüber dem Spiegel bestätigt. Das Magazin zitiert das Unternehmen, dass man diesen Angriff “rechtzeitig genug entdeckt habe, um größere Schäden zu verhindern“. Was immer das heißen mag.

Mit der Untersuchung beauftragte IT-Experten als auch die Behörden hätten, so berichtet der Spiegel unter Berufung auf das Unternehmen, seinerzeit “keine Belege dafür gefunden, dass Kundendaten entwendet“ oder “Computersysteme von Kunden infiziert wurden“. Deswegen habe man von der TeamViewer GmbH selbst die eigenen Kunden nicht  gewarnt.


Anzeige

“Nach übereinstimmender Meinung aller relevanten Drittparteien war eine breite Information an die Kunden hier nicht angezeigt“, zitiert der Spiegel das Unternehmen.

Neue Informationen auf FireEye-Summit

FireEye ist eine Sicherheitsfirma, die solche Angriffe analysiert. Vor zwei Wochen fand der FireEye-Summit, eine Konferenz von Sicherheitsforschern, statt. Dort bin ich über Tweets von Christopher Glyer (Chief Security Architect bei FireEye) gestolpert. In nachfolgendem Tweet nennt Glyer einige Opfer der APT 41-Gruppe.

Die Hacker-Gruppe, die dem chinesischen Staat zugeschrieben wird, ist gut in Supply Chain-Angriffen auf Software-Entwicklungsketten. So wurden Spiele-Entwickler oder der CCleaner-Entwickler Piriform gehackt und die Software auf den Entwicklungsservern mit Schadsoftware versehen. Diese wurde dann auf tausende oder gar Millionen Rechner ausgeliefert. Hier lässt sich ein FireEye-Bericht zu solchen Attacken einsehen. Was meine Aufmerksamkeit dann weckte, war die Folie, die Glyer in nachfolgendem Tweet gepostet hat.

Die Botschaft – aus dem Tweet und der unteren Folie in obigem Tweet: Durch den Supply-Chain-Angriff auf die Entwicklungsrechner von TeamViewer war die APT 41-Hackergruppe in der Lage, auf jedes System, auf dem der TeamViewer installiert war, zuzugreifen. Wobei ich mir aber unklar bin, wie belastbar das ist. Die Folie sagt nur:

TeamViewer ist eine Software für Remote-Verbindungen und Desktop-Sharing, die 2017 und 2018 in mehreren Angriffen benutzt wurde. Zudem werden Zugriffe auf lokale Ordner eines Benutzers gezeigt.

Lediglich der Tweet stellt die Verbindung mit APT 41 und dem Hack sowie dem Zugriff auf TeamViewer-Systeme dar. Das ist auf jeden Fall ein eklatanter Widerspruch zu dem, was die TeamViewer-Verantwortlichen dem Spiegel im Mai 2019 bestätigt hatten. Stutzig macht mich aber, dass Glyer angibt, dass es 2017 bis 2018 mehrmals erfolgreiche Hacks durch TeamViewer gab. Es wurde eine HIGHNOON und CROSSWALK-Schadsoftware eingeschleust. Auf der Folie sind anonymisierte TeamViewer Zugriffsereignisse zu sehen.

Da ich aber keine weiteren Details herausfinden konnte, habe ich die Information erst einmal auf Halde gelegt. Nun bin ich über den Tweet von Aryeh Goretsky (Sicherheitsforscher bei ESET) auf einen neuen Artikel gestoßen.

Der Artikel stammt von einer Seite, die sich mit Sicherheitsthemen befasst. Zitiert wird ein Bericht der Sicherheitsspezialisten der Firma Web Application Security. Die geben an, dass die TeamViewer-Entwickler nicht nur Opfer eines Hacks wurden. Den Informationen zufolge ‘könnten’ die Angreifer jeden Computer kontrolliert haben, der sich beim TeamViewer-Dienst angemeldet hat. Damit hätten die Angreifer beliebige Aktivitäten ausführen können. Allerdings bezieht sich dieser Artikel auch nur auf die Folien von Christopher Glyer, die ich oben erwähnt hatte. Der Link auf den angeblichen Web Application Security-Bericht ist allerdings nichtssagend, da er sich nicht mit TeamViewer sondern mit andern Information befasst.

Inzwischen bin ich aber auf diesen Artikel von 2017 gestoßen, wo ein Hack beschrieben wurde, wodurch die Client-Computer durch TeamViewer kompromittiert worden sein könnten. Ein GitHub-Benutzer namens “Gellin” hat eine Schwachstelle in TeamViewer offenbart, die es dem Client (der seine Desktop-Sitzung teilt) ermöglichen könnte, ohne Erlaubnis die Kontrolle über den Computer zu erlangen. Hier im Blog war der Sachverhalt damals im Beitrag TeamViewer: Sicherheitslücke gefährdet Sessions beschrieben worden. Aber alles auf ‘theoretischem Level’: Eine Sicherheitslücke wurde gefunden, die ausgenutzt hätte werden können. Ob die ausgenutzt wurde, ist offen. Und für September 2018 habe ich diesen Forenbeitrag bei TeamViewer gefunden, wo jemand behauptet, gehackt worden zu sein. Ein anderer Benutzer bestätigt das Gleiche – aber das Ganze ist wohl im Sande verlaufen – keine Ahnung, ob da Zugangsdaten auf anderen Wegen (Trojaner) erbeutet wurden.

Unter dem Strich also keine wirklich neuen oder belastbaren Informationen. Was bleibt, ist aber die Frage: Was wirklich beim TeamViewer-Hack 2016 passiert ist, ob es 2017 und 2018 diese oben beschriebenen Hacks gab und ob, und falls ja, was wirklich durch APT 41 kompromittiert wurde? Ich hätte jetzt kein wirklich gutes Gefühlt, den TeamViewer einzusetzen.

Ähnliche Artikel
“Winnti” hackt mehrere DAX-Unternehmen
Cyber-Angriff auf TeamViewer, Chinesen im Verdacht
TeamViewer-Ärger: Ausfall und Backdoor-Trojaner
TeamViewer: Sicherheitslücke gefährdet Sessions
Sicherheitswarnung für GoToMyPC und TeamViewer
TeamViewer bekommt zusätzliches “Sicherheitsfeature”
Teamviewer meldet fälschlich kommerzielle Nutzung
Autsch: CCleaner als Malware-Schleuder
AVAST-Stellungnahme zur CCleaner-Backdoor


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu TeamViewer-Hack: Hatte APT41-Gruppe Zugriff auf Millionen Geräte?


  1. Anzeige
  2. rollingstone sagt:

    Vor Jahren war ich unterwegs häufig in Internet-Cafes. Damals fiel mir auf, dass die mit den günstigsten, eigentlich nie und nimmer kostendeckenden Preisen (1 Euro/Std.) – deren Betreiber fast immer einem bestimmten Kulturkreis entstammten – Teamviewer auf jedem Platz installiert hatten. War also ihr Geschäftsmodell nicht Geldwäsche – was als Vermutung nahegelegen hätte – sondern Spionage/Bespitzelung/Datenklau?

  3. chriscrosser sagt:

    danke an günni für diesen beitrag!
    eigentlich sollte man sich langsam von aller “technik”
    verabschieden…
    alles wird entweder gehackt oder kompromitiert
    …und ich werde langsam zu alt für diesen ganzen mist
    bzw. immer dagegenzusteuern…
    ;-)

    • beterchens sagt:

      Problem liegt vor allem auch in der Genese des Internet begründet. Sicherheit o.ä. war damals kein Thema auf irgendeiner Agenda, wohl aber barrierefreie, schnelle(!) Kommunikation.
      Dass damit u.a. mal Geschäfte rechtsssicher abgewickelt werden sollen oder banking, hatte damals keiner auf dem Schirm. Jetzt schon. Bedeutet, die Lückenhaftigkeit ist systemimmanent. Neumachen wäre das beste. Kann man vergessen. Also frickelt + flickt man hinterher.
      Gleiches gilt für die Mobilfunktechnik, die eig. ne reine Wanzentech ist. Und wir nutzen sowas, freiwillig…

    • Peter sagt:

      Du sprichst mir aus der Seele.

  4. Anzeige

  5. Heiko sagt:

    Ich bin längst auf die Alternative AnyDesk umgestiegen. Aber ich gehe davon aus, dass die Software bei größerer Popularität ebenfalls von Hackern / Hackergruppen angegriffen würde, unabhängig von ihrer Rolle oder ihre Nähe zu staatlichen Institutionen.

    Am Ende erleben wir wieder den Widerspruch: “Schützt euch vor den Bösen, aber schützt euch nicht zu sehr, denn auch ihr seid böse. Mit freundlichen Grüßen, der Staat”. ;)

    Wenn Scheinsicherheit die Sicherheit ersetzt…

  6. Max sagt:

    Ich bin längst auf die Alternative AnyDesk umgestiegen, aber es ist nur eine Frage der Zeit, bis das Unternehmen ebenfalls Ziel von Hackern / Hackergruppen wird.

    Wir werden danach wieder die scheinheilige “Sicherheitsdebatte” führen, bei dem die selbsternannten oder so bezeichneten “Sicherheitsexperten” die Bevölkerung und Wirtschaft auffordern, sich vor den Gefahren zu schützen, während staatliche “Sicherheitsexperten” und Beratungsunternehmen sagen, man müsse Hintertüren in etwaigen Messengerdiensten und Software generell implementieren, damit die “Sicherheitsbehörden” die “Sicherheit” bewahren können, obwohl sie eigentlich von Scheinsicherheit sprechen.

    Ich selbst erlebe in meinem beruflichen Alltag immer öfters kritische Nachfrage von Kunden, warum ich ihnen bei all diesen Sicherheitsproblemen entsprechende UCC-Lösungen (Unified Communications & Collaboration) anbieten möchte, selbst wenn diese scheinbar sicher sind?! Es wächst Misstrauen, auch gegenüber der Digitalisierung, wenn Hacker / Hackergruppen und staatliche Institutionen gleichermaßen Sicherheitslücken suchen, um ihre eigenen Ziele zu festigen. Am Ende dient es aber nicht unserer Sicherheit, wobei man bei Hackern unterscheiden muss.

  7. Tim sagt:

    Ist es Zufall, dass dieses Thema ausgerechnet kurz nach dem Börsengang erneut aufgegriffen wird?

    • Günter Born sagt:

      Glaube ich nicht. Die FireEye-Veranstaltung war lange vorher – die Aktienkäufer stellten direkt nach dem IPO fest, dass sie gemolken worden sind (vorher gab es den Spiegel Online-Artikel). Und die Geschichte hat ja Fragezeichen – Insider wussten, dass es ‘Merkwürdigkeiten gab’. Im Sinne deiner Frage ‘Cui bono?’ – worauf ich ad hoc keine Antwort weiß.

  8. woodpeaker sagt:

    Ich hatte vor langer Zeit mir mal das Programm angeschaut, da ich Ersatz für pcanywhere gesucht hatte. Als ich dann sah, dass das Programm einen Umweg über zuhause machte, flog es sofort wieder von der Versuchsmaschine.
    Hatte auch mal von Buhl Buchhaltungssoftware in Benützung, da genau das Gleiche.
    Umweg über Zuhause kommt nicht auf den PC.
    Besser kann man ein man in the middle Szenario nicht darstellen.

  9. Anzeige

  10. OwenBurnett sagt:

    Naja, wer Cloud basierte Remote-Desktop Lösungen nutzt ist selber schuld #victimblaming
    Ja ist gemein ist aber so, so eine Firma ist Prinzip bedingt ein Single Point of Failure und es ist jenseits von fahrlässig so jemandem die sprichwörtlichen Schlüssel zum Kernbereich privater Lebensgestaltung in die Hände zu geben, und wen es ein Firmen PC ist wird es auch nicht besser Geschäftsgeheimnisse und so.

    Das einzige was sinnvoll ist, ist VNC (egal ob Ultra oder Real) ohne Cloud Anbindung und vorzugsweise nur aus einem eigenem VPN ansprechbar.

  11. michael sagt:

    Scheint sich eher in die US-Wirtschaftskriegs-Desinfos einzureihen. Fakten, Fakten, Fakten. Ebenso das Geschwurbel mit den vermeintlichen Überwachungschips bei Supermicro – reine Fake-News.

  12. Hery sagt:

    Moin,
    früher haben die Chinesen dir in den Tee gespuckt,
    heute Hacken sie was das Zeug hält.
    Aber die Cloud ist toll,alles was Smart ist kann gefahrlos angewendet werden.
    Huawei ist unter den großen die Mutter Theresa.
    Ganz schön naiv.
    Der GAU sind unsere Politiker.So jetzt höre ich auf,der Blutdruck.

    Hery

  13. iepoieh sagt:

    Hi,

    Do you think it’s possible that there is no company “Web Application Security” (as a simple Google search implies) but that you misinterpreted a link to an explaining article in the original article (of a rather shady cyber security site)?

    Also, +1 to Alitai, the original tweet has been corrected by the Fire Eye guy: https://twitter.com/cglyer/status/1183210046093758464

    iepoieh.

  14. psydrohne sagt:

    Bin grad beim Googeln auf die Seite gestossen…
    Bei mir gabs letzten Samstag 19.10 Abend einen unauthorisierten Zugriff auf den Laptop meiner Frau via TeamViewer. Nachdem Sie das Notebook gestartet hatte und 15min unbeaufsichtig lies, bemerkte sie beim vorbeihehen, dass jemand darauf arbeitet. Ich hab darauf gleich das Internet gekappt. Es kam sofort die Meldung “Dies war eine kostenlose Sitzung von Teamviewer”. Der Angreifer hat in der kurzen Zeit meinen Paypal Account gehackt (war vermutlich kompromitiert) und damit ein iPhone bestellt. Als nächstes wollte er sich meinen Mail-Account vornehmen…aber das ist die Nebensache.
    Nach gleich durchgeführten Maßnahmen (Password ändern, Paypal informieren,…) habe ich die Einstellungen und das Log in Teamviewer analysiert.
    Spannend ist: Zum Tatzeitpunkt war die aktuelle Version 14 im Hintergrund laufend mit dem Betriebssystem gestertet. Diese hatte keinen Acoount verbunden und war nicht mit einem personalisierten Password für “Fernzugriff” aktiviert. Der Angreifer müsste das zufallsgenerierte Passwort herausgefunden haben, dass beim Systemstart erzeugt wurde – was unmöglich ist. Das Log bestätigt auch einen Fernzugriff mit dem zufallsgenerierten Passwort. Dies ist aber zu 100% ausgeschlossen.
    Teamviewer wurde heute von mir inforrmiert und diese gaben mir nur die Empfehung Anzeige zu erstatten.
    Laut Adresse der iPhone Bestellung führt die Spur nach Frankreich.
    Ich traue Teamviewer jetzt nicht mehr ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.